CN104506667A - 一种分配端口资源的方法及装置、用户认证管理的装置 - Google Patents
一种分配端口资源的方法及装置、用户认证管理的装置 Download PDFInfo
- Publication number
- CN104506667A CN104506667A CN201410808705.6A CN201410808705A CN104506667A CN 104506667 A CN104506667 A CN 104506667A CN 201410808705 A CN201410808705 A CN 201410808705A CN 104506667 A CN104506667 A CN 104506667A
- Authority
- CN
- China
- Prior art keywords
- port
- user
- address
- described user
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2517—Translation of Internet protocol [IP] addresses using port numbers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明实施例提供了一种分配端口资源的方法及装置、用户认证管理的装置,解决了现有技术中端口分配模块存在功能缺陷的问题。该方法包括:用户认证管理模块接收用户发送的上线请求,完成对所述用户的认证之后,为所述用户分配唯一标识所述用户的标识信息;所述用户认证管理模块向端口分配模块发送端口请求消息,所述端口请求消息中携带所述标识信息,以便于所述端口分配模块根据所述标识信息为所述用户分配端口资源;所述用户认证管理模块接收所述端口分配模块发送的端口分配完成消息,并向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。该方法适用于通信技术领域。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种分配端口资源的方法及装置、用户认证管理的装置。
背景技术
随着用户的增长以及终端智能化的发展,对互联网协议(InternetProtocol,简称:IP)地址的需求快速增长,然而网际协议版本4(InternetProtocol Version 4,简称:IPv4)地址已经基本耗尽,虽然网际协议版本6(Internet Protocol Version 6,简称:IPv6)理论上可以支持几乎无穷多的终端节点,但是由于IPv6设计上无法向下兼容IPv4,在IPv6完成商用部署之前,众多过渡技术成为当前的主流解决方案,其中应用最广泛,技术最成熟的是网络地址转换(Network AddressTranslation,简称:NAT)技术。
NAT技术通过将专用网中的用户的内部IP地址和内部端口号转换为外部IP地址和外部端口号,使得专用网中的多个用户共享少量的可以与因特网进行通信的外部IP地址。其中,NAT444技术是基于传统NAT技术的一种演进技术,当内网用户上线时,局域网中与外部因特网相连的路由器/防火墙根据用户的内部IP地址为用户分配外部IP地址以及外部IP地址的端口块,端口块中包含多个端口。用户上线期间可以一直使用该端口块的端口资源。当用户需要访问因特网时,路由器/防火墙通过预分配的外部IP地址和端口块中的一个端口使得该用户与因特网进行通信。与传统的NAT技术相比,NAT444不必在用户每次发起连接时都为用户分配端口,而是在用户上线期间为用户分配端口块,从而大大减小了记录该用户相关信息的日志量。
通过NAT444技术,用户为用户分配外部IP地址和端口块的端口分配模块必须基于用户的内部IP地址为用户分配端口块,然而,当用户内部IP地址发生变化时,为该用户分配的端口块也发生变化,无法保持端口块的稳定,或者当用户拥有多个内部IP地址时,端口分配模块为用户分配多个端口块,不利于审计和流量的控制,又或者当一个局域网内的两个用户的内部IP地址相同时,端口分配模块为这两个用户分配的端口块相同,不但不利于审计和流量的控制,还有可能造成通信错误,再或者用户在上线时并没有分配有内部IP地址,则端口分配模块必须等待用户认证管理模块为该用户分配IP地址之后再为用户分配端口块,使得延时较大,影响用户体验,因此,现有的NAT444技术中基于用户内部IP地址为用户分配端口块使得端口分配模块存在功能缺陷。
发明内容
本发明的实施例提供一种分配端口资源的方法及装置、用户认证管理的装置,以至少解决现有NAT444技术基于用户内部IP地址为用户分配端口块使得端口分配模块存在功能缺陷的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,本发明实施例提供了一种分配端口资源的方法,该方法包括:
用户认证管理模块接收用户发送的上线请求,完成对所述用户的认证之后,为所述用户分配唯一标识所述用户的标识信息;
所述用户认证管理模块向端口分配模块发送端口请求消息,所述端口请求消息中携带所述标识信息,以便于所述端口分配模块根据所述标识信息为所述用户分配端口资源;
所述用户认证管理模块接收所述端口分配模块发送的端口分配完成消息,并向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。
第二方面,本发明实施例提供了一种分配端口资源的方法,该方法包括:
端口分配模块接收用户认证管理模块发送的端口请求消息,所述端口请求消息中携带唯一标识用户的标识信息;
所述端口分配模块根据所述标识信息,为所述用户分配外部互联网协议IP地址,以及所述外部IP地址对应的端口块,其中,所述外部IP地址用于所述用户与外部网络进行通信;
所述端口分配模块向所述用户认证管理模块发送端口分配完成消息。
第三方面,本发明实施例提供了一种分配端口资源的装置,该装置包括:分配单元,发送单元和接收单元;
所述分配单元,用于在所述装置接收用户发送的上线请求,完成对所述用户的认证之后,为所述用户分配唯一标识所述用户的标识信息;
所述发送单元,用于向端口分配模块发送端口请求消息,所述端口请求消息中携带所述标识信息,以便于所述端口分配模块根据所述标识信息为所述用户分配端口资源;
所述接收单元,用于接收所述端口分配模块发送的端口分配完成消息;
所述发送单元还用于:向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。
第四方面,本发明实施例提供了一种分配端口资源的装置,该装置包括:接收单元,分配单元和发送单元;
所述接收单元,用于接收用户认证管理模块发送的端口请求消息,所述端口请求消息中携带唯一标识用户的标识信息;
所述分配单元,用于根据所述标识信息,为所述用户分配外部互联网协议IP地址,以及所述外部IP地址对应的端口块,其中,所述外部IP地址用于所述用户与外部网络进行通信;
所述发送单元,用于向所述用户认证管理模块发送端口分配完成消息。
本发明实施例提供了一种分配端口资源的方法及装置、用户认证管理的装置,用户认证管理模块通过为用户分配唯一标识所述用户的标识信息,使得端口分配模块根据所述标识信息为所述用户分配端口块,由于所述标识信息是唯一确定的,不会发生变化,使得端口分配模块为所述用户分配的端口块是唯一确定的,从而解决了NAT444过程中端口分配模块存在功能缺陷的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种局域网与因特网连接关系示意图;
图2为一种分配端口资源的方法流程图;
图3为另一种分配端口资源的方法流程图;
图4为再一种分配端口资源的方法流程图;
图5为又一种分配端口资源的方法流程图;
图6为一种用户认证管理的装置示意图;
图7为另一种用户认证管理的装置示意图;
图8为一种分配端口资源的装置示意图;
图9为另一种分配端口资源的装置示意图;
图10为又一种分配端口资源的装置示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
结合图1,示例性的描述了一种局域网与因特网的连接关系。现结合图1对通过NAT444技术使局域网中的主机和因特网中的服务器进行通信的过程进行描述。个人计算机(personal computer,PC)1,PC2,PC3和PC4是局域网中的4个PC,分别分配有局域网内的内部IP地址,以PC1需要访问因特网中的服务器为例,PC1在上线时向路由器/防火墙发送上线请求消息,路由器/防火墙中的端口分配模块根据PC1的内部IP地址为PC1分配外部IP地址和该外部IP地址的端口块,该端口块包含多个端口。
假设PC1的内部IP地址为192.168.200.2,使用内部端口号1的端口进行通信,当PC1访问主机时,将报文发送至路由器/防火墙,报文中的源地址为PC1的内部IP地址和内部端口号为1的端口,报文中的目的地址为PC1所要访问的因特网中的服务器的IP地址和端口号。路由器/防火墙中的端口分配模块根据报文中的PC1的内部IP地址,索引到为PC1分配的外部IP地址和该外部IP地址对应的端口块,假设该外部IP地址为218.197.70.2,端口块包括该外部IP地址的端口号为1030-1050的20个端口。
路由器/防火墙的端口分配模块将报文的源地址中的PC1的内部IP地址替换为路由器/防火墙为PC1分配的外部IP地址,将内部端口号为1的端口替换为通过预设策略从为PC1分配的端口块中选择的一个端口,然后根据报文中的目的地址将报文发送至因特网中的服务器。
但是,上述过程存在如下问题:由于局域网中连接外部因特网的路由器/防火墙中的端口分配模块通过用户的内部IP地址为用户分配端口块,导致端口分配模块存在功能缺陷。以该用户为PC1为例,当PC1的内部IP地址发生变化,或者当PC1有多个IP地址时,路由器/防火墙的端口分配模块为PC1分配的端口块也会变化,可能存在资源的浪费,也不利于流量的统计;或者PC1与PC2的IP地址相同时,路由器/防火墙的端口分配模块为PC1和PC2分配的端口块相同,不但不利于流量的统计,还有可能造成通信错误;或者PC1在请求上线时还没有分配有内部IP地址,需要路由器/防火墙的用户认证管理模块通过动态主机配置协议(DynamicHost Configuration Protocol,简称:DHCP)为PC1动态分配内部IP地址,此时,路由器/防火墙的用户认证管理模块为PC1分配好内部IP地址后,再根据该内部IP地址为用户分配外部IP地址和该外部IP地址的端口块,从而造成用户上线时延较长,影响用户体验。
需要说明的是,在本发明实施例中,所指的内部IP地址是指只能在局域网中用于通信的IP地址,所指的外部IP地址是指合法的IPv4地址,可以用来与外部因特网进行通信。
为解决上述问题,本发明实施例提供了一种分配端口资源的方法,结合图2,该方法包括:
201、用户认证管理模块接收用户发送的上线请求,完成对所述用户的认证之后,为所述用户分配唯一标识所述用户的标识信息。
具体的,本发明实施例的执行主体为用户认证管理模块,该用户认证管理模块可以位于路由器或防火墙中,也可以位于其他装置中,本发明实施例对此不做限定。
当用户认证管理模块接收到用户的上线请求并完成对该用户的认证之后,用户认证管理模块为用户分配一个唯一标识所述用户的标识信息,所述标识信息能够在用户所处的局域网中起到对该用户唯一标识的作用。
具体的,所述用户认证管理模块还需获取标识所述用户属性的属性信息,所述属性信息可以包含所述用户的多种信息,如所述用户的内部IP地址信息、设备端口信息、源地址解析协议(Address Resolution Protocol,简称:ARP)信息、隧道口信息等,当用户完成认证后,所述属性信息还可以包括所述用户的接入认证信息,所述用户认证管理模块根据所述属性信息中的一种或多种信息的综合可以唯一识别该用户,所述用户认证管理模块记录所述用户的属性信息与所述用户的标识信息的对应关系。
202、所述用户认证管理模块向端口分配模块发送端口请求消息,所述端口请求消息中携带所述标识信息,以便于所述端口分配模块根据所述标识信息为所述用户分配端口资源。
所述用户认证管理模块向端口分配模块发送端口请求消息,所述端口请求消息中携带用户的标识信息。当所述端口分配模块接收到所述端口请求消息后,根据所述用户的标识信息为所述用户分配外部IP地址和该外部IP地址对应的端口块。由于所述用户的标识信息可以唯一标识所述用户,因此所述端口分配模块为用户分配的端口块和所述用户是唯一对应的,当用户上线并认证成功后,无论用户的内部IP地址发生变化,或用户包含多个内部IP地址,或同一局域网中的两个用户的内部IP完全相同,或用户在上线并认证成功后才由用户认证管理模块分配内部IP地址,所述端口分配模块为所述用户分配的端口块地址都是唯一确定的,从而解决了现有NAT444技术中端口分配模块存在功能缺陷的问题。
需要说明的是,所述用户认证管理模块和所述端口分配模块可以位于同一个设备中,也可以位于两个不同的设备,本发明实施例对此不做限定。
203、所述用户认证管理模块接收所述端口分配模块发送的端口分配完成消息,并向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。
当端口分配模块根据所述用户的标识信息为所述用户分配外部IP地址和该外部IP地址对应的端口块后,向用户认证管理模块发送端口分配完成消息。所述用户认证管理模块接收端口分配完成消息之后,向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。
本发明实施例提供了一种分配端口资源的方法,在该方法中,用户认证管理模块接收到用户的上线请求消息并完成对该用户的认证后,为该用户分配唯一标识所述用户的标识信息,并将包含该用户的标识信息的端口请求消息发送至端口分配模块,以使得端口分配模块根据用户的标识信息为该用户分配外部IP地址和该外部IP地址对应的端口块,由于所述标识信息是唯一确定的,不会发生变化,从而解决了现有NAT444技术中端口分配模块存在功能缺陷的问题。
为解决现有NAT444技术端口分配模块存在功能缺陷的问题,本发明实施还提供了一种分配端口资源的方法,结合图3,该方法包括:
301、用户认证管理模块接收用户发送的上线请求,完成对所述用户的认证之后,为所述用户分配唯一标识所述用户的标识信息。
302、所述用户认证管理模块向端口分配模块发送端口请求消息,所述端口请求消息中携带所述标识信息,以便于所述端口分配模块根据所述标识信息为所述用户分配端口资源。
303、所述用户认证管理模块接收所述端口分配模块发送的端口分配完成消息,并向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。
具体的,步骤301-步骤303的详细技术特征可参见上述步骤201-步骤203,本发明实施例对此不再赘述。
304、所述用户认证管理模块接收所述用户发送的报文,其中,所述报文中包含所述用户的属性信息。
所述用户认证管理模块为所述用户分配所述用户的标识信息后,记录所述用户的唯一标识信息与所述用户的属性信息的对应关系,其中,所述用户的属性信息可以包含所述用户的多种信息,如所述用户的内部IP地址信息、设备端口信息、源地址解析协议(Address Resolution Protocol,ARP)信息、隧道口信息等,当用户完成认证后,所述属性信息还可以包括所述用户的接入认证信息,所述用户认证管理模块根据所述属性信息中的一种或多种信息的综合可以唯一识别该用户。
当所述用户设备管理模块向所述用户发送用于指示所述用户上线成功的响应消息后,所述用户在访问外部网络时向所述设备发送报文,所述报文中包含所述用户的属性信息。
305、所述用户认证管理模块根据所述用户的属性信息与所述标识信息的对应关系,确定所述用户的标识信息,并将所述标识信息添加至所述报文。
所述用户认证管理模块根据所述用户发送的报文中的所述用户的属性信息,根据所述用户的属性信息与所述用户的标识信息的对应关系获取所述用户的标识信息,并将所述用户的标识信息添加至所述报文中。
进一步的,所述用户认证管理模块将所述报文发送至端口分配模块,端口分配模块根据所述报文中的用户的标识信息,索引到该用户的标识信息与所述端口分配模块为所述用户分配的外部IP地址以及外部IP地址对应的端口块的对应关系,从而获取到为该用户分配的外部IP地址和该外部IP地址对应的端口块。
所述端口分配模块将所述报文中的源地址替换为所述外部IP地址和所述端口块中的一个端口的端口号,并根据所述报文中的目的地址将所述报文发送至目的设备。
当所述用户下线时,所述用户认证管理模块取消所述用户的属性信息与所述标识信息的对应关系,从而释放为该用户分配的端口资源。
本发明实施例提供了一种分配端口资源的方法,在该方法中,用户认证管理模块接收到用户的上线请求消息并完成对该用户的认证后,为该用户分配唯一标识所述用户的标识信息,并将包含该用户的标识信息的端口请求消息发送至端口分配模块,以使得端口分配模块根据用户的标识信息为该用户分配外部IP地址和该外部IP地址对应的端口块,由于所述标识信息是唯一确定的,不会发生变化,从而解决了现有NAT444技术中端口分配模块存在功能缺陷的问题。
为解决现有NAT444技术端口分配模块存在功能缺陷的问题,本发明实施还提供了一种分配端口资源的方法,结合图4,该方法包括:
401、端口分配模块接收用户认证管理模块发送的端口请求消息,所述端口请求消息中携带唯一标识用户的标识信息。
具体的,端口分配模块接收用户认证管理模块发送的端口请求消息,所述端口请求消息中携带请求端口资源的用户的标识信息。需要说明的是,所述端口分配模块可以位于路由器或防火墙中,也可以位于其他设备中,并且,所述用户认证管理模块和所述端口分配模块可以位于同一设备中,也可以位于不同设备中,本发明实施例对此不做限定。
402、所述端口分配模块根据所述标识信息,为所述用户分配外部互联网协议IP地址,以及所述外部IP地址对应的端口块,其中,所述外部IP地址用于所述用户与外部网络进行通信。
所述端口分配模块根据所述用户的标识信息为所述用户分配端口块,在所述用户上线期间,所述端口块只分配给所述用户,其他用户不能使用该端口块中的端口资源,因此,所述端口块与所述用户是唯一对应的。
所述端口分配模块为所述用户分配端口块之后,记录所述端口块与所述用户的标识信息的对应关系。
403、所述端口分配模块向所述用户认证管理模块发送端口分配完成消息。
所述端口分配模块为所述用户分配完端口块之后,向用户认证管理模块发送端口分配完成消息,以使得所述用户认证管理模块向用户发送用于指示用户上线成功的响应消息。
当所述用户需要访问外部网络时,所述端口分配模块接收由用户认证管理模块发送的用户的报文,所述报文中包含用户认证管理模块在所述报文中添加的唯一标识所述用户的标识信息,所述端口分配模块根据所述用户的标识信息与为所述用户分配的端口块的对应关系,获取到为所述用户分配的端口块信息。
所述端口分配模块根据所述端口块信息,按照预设的策略,如随机选取或循环选取的方式,在所述端口块中选择一个端口作为所述用户与外部网络通信的外部端口。
所述用户的报文的源地址包括所述用户的内部IP地址和内部端口的端口号,所述端口分配模块将所述源地址中的所述用户的内部IP地址转换为所述设备为所述用户分配的外部IP地址,将所述内部端口的端口号替换为所述设备通过预设策略为所述用户选取的外部端口的端口号。
所述端口分配模块根据所述报文中的目的地址,将所述报文发送至外部网络中的目的设备。
进一步的,所述端口分配模块获取所述用户的日志信息,其中,所述用户的日志信息至少包含所述用户的标识信息,所述用户的内部IP地址,所述用户的内部端口的端口号信息,所述用户的外部IP地址以及所述端口块的信息。在所述用户上线和下线时,该设备将所述用户的日志信息发送至日志服务器。当需要对该用户在上线期间的通信情况进行查询时,根据所述用户上线时的日志信息和下线时的日志信息,以及其他相关信息,如时间信息等,就可以获取到用户在上线期间的通信情况。
本发明实施例提供一种分配端口资源的方法,在该方法中,端口分配模块根据用于唯一标识用户的标识信息为用户分配端口块,由于该端口块与该用户是唯一对应的,从而解决了现有NAT444技术中端口分配模块存在功能缺陷的问题。
为解决现有NAT444技术端口分配模块存在功能缺陷的问题,本发明实施还提供了一种分配端口资源的方法,该方法应用于一种分配端口资源的系统,该系统包括用户、用户认证管理模块和端口分配模块,其中,所述用户认证管理模块和所述端口分配模块可以位于同一个设备中,也可以位于不同的设备中,结合图5,该方法包括:
501、用户向用户认证管理模块发送上线请求。
502、所述用户认证管理模块对用户进行认证,认证通过后,为所述用户分配唯一标识所述用户的标识信息。
503、所述用户认证管理模块获取标识所述用户属性的属性信息,并记录所述用户的标识信息和所述属性信息的对应关系。
504、所述用户认证管理模块向端口分配模块发送端口请求消息,所述端口请求消息中携带所述标识信息。
具体的,步骤503和步骤504之间没有先后顺序,可以先执行步骤503,也可以先执行步骤504,本发明实施例对此不做限定。
505、所述端口分配模块根据所述标识信息,为所述用户分配外部IP地址和所述外部IP地址对应的端口块。
506、所述端口分配模块记录所述用户的标识信息与所述外部IP地址以及所述端口块的对应关系。
507、所述端口分配模块向所述用户认证管理模块发送端口分配完成消息。
具体的,步骤506和步骤507之间没有先后顺序,可以先执行步骤506,也可以先执行步骤507,本发明实施例对此不做限定。
508、所述用户认证管理模块向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。
509、所述用户向所述用户认证管理模块发送报文,所述报文中包含所述用户的属性信息。
510、所述用户认证管理模块根据所述用户的属性信息与所述标识信息的对应关系,确定所述用户的标识信息。
511、所述用户认证管理模块将所述标识信息添加至所述报文,并将所述报文发送至所述端口分配模块。
512、所述端口分配模块根据所述标识信息与所述外部IP地址以及所述端口块的对应关系,确定所述外部IP地址以及所述端口块。
513、所述端口分配模块按照预设的策略选取所述端口块中的一个端口作为外部端口。
514、所述端口分配模块将所述源地址信息中的内部IP地址与内部端口的端口号信息替换为所述外部IP地址与所述外部端口的端口号信息,并根据所述报文中的目的地址将所述报文发送至目的设备。
需要说明的是,本发明实施例的详细技术特征可参见图2-图4所对应的实施例,本发明实施例对此不再赘述。
本发明实施例提供了一种分配端口资源的方法,在该方法中,用户认证管理模块接收到用户的上线请求消息并完成对该用户的认证后,为该用户分配唯一标识所述用户的标识信息,并将包含该用户的标识信息的端口请求消息发送至端口分配模块,端口分配模块根据用户的标识信息为该用户分配外部IP地址和该外部IP地址对应的端口块,解决了现有NAT444技术中端口分配模块存在功能缺陷的问题。
为解决现有NAT444技术端口分配模块存在功能缺陷的问题,本发明实施还提供了一种用户认证管理的装置,结合图6,该装置包括:分配单元601,发送单元602和接收单元603;
所述分配单元601,用于在所述装置接收用户发送的上线请求,完成对所述用户的认证之后,为所述用户分配唯一标识所述用户的标识信息;
所述发送单元602,用于向端口分配模块发送端口请求消息,所述端口请求消息中携带所述标识信息,以便于所述端口分配模块根据所述标识信息为所述用户分配端口资源;
所述接收单元603,用于接收所述端口分配模块发送的端口分配完成消息;
所述发送单元602还用于:向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。
具体的,结合图7,该装置还包括:获取单元604,记录单元605,确定单元606和添加单元607;
所述获取单元604,用于获取标识所述用户属性的属性信息;
所述记录单元605,用于记录所述用户的属性信息与所述标识信息的对应关系;
所述接收单元603还用于:接收所述用户发送的报文,其中,所述报文中包含所述用户的属性信息;
所述确定单元606,用于根据所述用户的属性信息与所述标识信息的对应关系,确定所述用户的标识信息;
所述添加单元607,用于将所述标识信息添加至所述报文。
具体的,本发明实施例的详细技术特征可参见上述图2和图3所对应的方法的实施例,本发明实施例对此不再赘述。
本发明实施例提供了一种用户认证管理的装置,该装置接收到用户的上线请求消息并完成对该用户的认证后,为该用户分配唯一标识所述用户的标识信息,并将包含该用户的标识信息的端口请求消息发送至端口分配模块,以使得端口分配模块根据用户的标识信息为该用户分配外部IP地址和该外部IP地址对应的端口块,由于在用户上线期间该标识信息是唯一确定的,不会发生变化,从而解决了现有NAT444技术中端口分配模块存在功能缺陷的问题。
为解决现有NAT444技术端口分配模块存在功能缺陷的问题,本发明实施还提供了一种分配端口资源的装置,结合图8,该装置包括:接收单元801,分配单元802和发送单元803;
所述接收单元801,用于接收用户认证管理模块发送的端口请求消息,所述端口请求消息中携带唯一标识用户的标识信息;
所述分配单元802,用于根据所述标识信息,为所述用户分配外部互联网协议IP地址,以及所述外部IP地址对应的端口块,其中,所述外部IP地址用于所述用户与外部网络进行通信;
所述发送单元803,用于向所述用户认证管理模块发送端口分配完成消息。
具体的,结合图9,该装置还包括:记录单元804,确定单元805,选取单元806和替换单元807;
所述记录单元804,用于记录所述标识信息与所述外部IP地址以及所述端口块的对应关系;
所述接收单元801还用于:接收所述用户发送的报文,其中,所述报文包含所述用户的标识信息和所述用户的源地址信息,所述用户的源地址信息包含所述用户的内部IP地址和所述内部IP地址对应的内部端口的端口号信息,其中,所述内部IP地址用于所述用户与内部网络进行通信;
所述确定单元805,用于根据所述标识信息与所述外部IP地址以及所述端口块的对应关系,确定所述外部IP地址以及所述端口块;
所述选取单元806,用于按照预设的策略选取所述端口块中的一个端口作为外部端口;
所述替换单元807,用于将所述源地址信息中的内部IP地址与内部端口的端口号信息替换为所述外部IP地址与所述外部端口的端口号信息。
可选的,结合图10,该装置还包括:获取单元808;
所述获取单元808,用于获取所述用户的日志信息,其中,所述用户的日志信息至少包含所述用户的标识信息,所述用户的内部IP地址,所述用户的内部端口的端口号信息,所述用户的外部IP地址以及所述端口块的信息;
所述发送单元803还用于:将所述用户的日志信息发送至日志服务器。
具体的,本发明实施例的详细技术特征可参见上述图4所对应的方法的实施例,本发明实施例对此不再赘述。
本发明实施例提供一种分配端口资源的装置,该装置根据用于唯一标识用户的标识信息为用户分配端口块,由于在用户上线期间,该端口块与该用户是唯一对应的,从而解决了现有NAT444技术中端口分配模块存在功能缺陷的问题。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种分配端口资源的方法,其特征在于,该方法包括:
用户认证管理模块接收用户发送的上线请求,完成对所述用户的认证之后,为所述用户分配唯一标识所述用户的标识信息;
所述用户认证管理模块向端口分配模块发送端口请求消息,所述端口请求消息中携带所述标识信息,以便于所述端口分配模块根据所述标识信息为所述用户分配端口资源;
所述用户认证管理模块接收所述端口分配模块发送的端口分配完成消息,并向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。
2.根据权利要求1所述的方法,其特征在于,在所述用户认证管理模块接收用户发送的上线请求,完成对所述用户的认证之后,该方法还包括:
所述用户认证管理模块获取标识所述用户属性的属性信息;
在所述为所述用户分配唯一标识所述用户的标识信息之后,该方法还包括:
所述用户认证管理模块记录所述用户的属性信息与所述标识信息的对应关系;
在所述用户认证管理模块接收所述端口分配模块发送的端口分配完成消息,并向所述用户发送响应消息之后,该方法还包括:
所述用户认证管理模块接收所述用户发送的报文,其中,所述报文中包含所述用户的属性信息;
所述用户认证管理模块根据所述用户的属性信息与所述标识信息的对应关系,确定所述用户的标识信息;
所述用户认证管理模块将所述标识信息添加至所述报文。
3.一种分配端口资源的方法,其特征在于,该方法包括:
端口分配模块接收用户认证管理模块发送的端口请求消息,所述端口请求消息中携带唯一标识用户的标识信息;
所述端口分配模块根据所述标识信息,为所述用户分配外部互联网协议IP地址,以及所述外部IP地址对应的端口块,其中,所述外部IP地址用于所述用户与外部网络进行通信;
所述端口分配模块向所述用户认证管理模块发送端口分配完成消息。
4.根据权利要求3所述的方法,其特征在于,在所述端口分配模块根据所述标识信息,为所述用户分配外部互联网协议IP地址,以及所述外部IP地址对应的端口块之后,该方法还包括:
所述端口分配模块记录所述标识信息与所述外部IP地址以及所述端口块的对应关系;
在所述端口分配模块向所述用户认证管理模块发送端口分配完成消息之后,该方法还包括:
所述端口分配模块接收所述用户发送的报文,其中,所述报文包含所述用户的标识信息和所述用户的源地址信息,所述用户的源地址信息包含所述用户的内部IP地址和所述内部IP地址对应的内部端口的端口号信息,其中,所述内部IP地址用于所述用户与内部网络进行通信;
所述端口分配模块根据所述标识信息与所述外部IP地址以及所述端口块的对应关系,确定所述外部IP地址以及所述端口块;
所述端口分配模块按照预设的策略选取所述端口块中的一个端口作为外部端口;
所述端口分配模块将所述源地址信息中的内部IP地址与内部端口的端口号信息替换为所述外部IP地址与所述外部端口的端口号信息。
5.根据权利要求3或4所述的方法,其特征在于,在所述端口分配模块根据所述标识信息,为所述用户分配外部互联网协议IP地址,以及所述外部IP地址对应的端口块之后,该方法还包括:
所述端口分配模块获取所述用户的日志信息,其中,所述用户的日志信息至少包含所述用户的标识信息,所述用户的内部IP地址,所述用户的内部端口的端口号信息,所述用户的外部IP地址以及所述端口块的信息;
所述端口分配模块将所述用户的日志信息发送至日志服务器。
6.一种用户认证管理的装置,其特征在于,该装置包括:分配单元,发送单元和接收单元;
所述分配单元,用于在所述装置接收用户发送的上线请求,完成对所述用户的认证之后,为所述用户分配唯一标识所述用户的标识信息;
所述发送单元,用于向端口分配模块发送端口请求消息,所述端口请求消息中携带所述标识信息,以便于所述端口分配模块根据所述标识信息为所述用户分配端口资源;
所述接收单元,用于接收所述端口分配模块发送的端口分配完成消息;
所述发送单元还用于:向所述用户发送响应消息,所述响应消息用于指示所述用户上线成功。
7.根据权利要求6所述的装置,其特征在于,该装置还包括:获取单元,记录单元,确定单元和添加单元;
所述获取单元,用于获取标识所述用户属性的属性信息;
所述记录单元,用于记录所述用户的属性信息与所述标识信息的对应关系;
所述接收单元还用于:接收所述用户发送的报文,其中,所述报文中包含所述用户的属性信息;
所述确定单元,用于根据所述用户的属性信息与所述标识信息的对应关系,确定所述用户的标识信息;
所述添加单元,用于将所述标识信息添加至所述报文。
8.一种分配端口资源的装置,其特征在于,该装置包括:接收单元,分配单元和发送单元;
所述接收单元,用于接收用户认证管理模块发送的端口请求消息,所述端口请求消息中携带唯一标识用户的标识信息;
所述分配单元,用于根据所述标识信息,为所述用户分配外部互联网协议IP地址,以及所述外部IP地址对应的端口块,其中,所述外部IP地址用于所述用户与外部网络进行通信;
所述发送单元,用于向所述用户认证管理模块发送端口分配完成消息。
9.根据权利要求8所述的装置,其特征在于,该装置还包括:记录单元,确定单元,选取单元和替换单元;
所述记录单元,用于记录所述标识信息与所述外部IP地址以及所述端口块的对应关系;
所述接收单元还用于:接收所述用户发送的报文,其中,所述报文包含所述用户的标识信息和所述用户的源地址信息,所述用户的源地址信息包含所述用户的内部IP地址和所述内部IP地址对应的内部端口的端口号信息,其中,所述内部IP地址用于所述用户与内部网络进行通信;
所述确定单元,用于根据所述标识信息与所述外部IP地址以及所述端口块的对应关系,确定所述外部IP地址以及所述端口块;
所述选取单元,用于按照预设的策略选取所述端口块中的一个端口作为外部端口;
所述替换单元,用于将所述源地址信息中的内部IP地址与内部端口的端口号信息替换为所述外部IP地址与所述外部端口的端口号信息。
10.根据权利要求8或9所述的装置,其特征在于,该装置还包括:获取单元;
所述获取单元,用于获取所述用户的日志信息,其中,所述用户的日志信息至少包含所述用户的标识信息,所述用户的内部IP地址,所述用户的内部端口的端口号信息,所述用户的外部IP地址以及所述端口块的信息;
所述发送单元还用于:将所述用户的日志信息发送至日志服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410808705.6A CN104506667B (zh) | 2014-12-22 | 2014-12-22 | 一种分配端口资源的方法及装置、用户认证管理的装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410808705.6A CN104506667B (zh) | 2014-12-22 | 2014-12-22 | 一种分配端口资源的方法及装置、用户认证管理的装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104506667A true CN104506667A (zh) | 2015-04-08 |
| CN104506667B CN104506667B (zh) | 2018-10-12 |
Family
ID=52948382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410808705.6A Active CN104506667B (zh) | 2014-12-22 | 2014-12-22 | 一种分配端口资源的方法及装置、用户认证管理的装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104506667B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016202013A1 (zh) * | 2015-06-18 | 2016-12-22 | 中兴通讯股份有限公司 | 日志获取方法和装置、以及网管服务器 |
| CN106506724A (zh) * | 2016-11-23 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种分配端口块的方法及装置 |
| CN106603435A (zh) * | 2016-12-28 | 2017-04-26 | 北京华为数字技术有限公司 | 分配端口块资源的方法及装置 |
| CN113329057A (zh) * | 2021-04-30 | 2021-08-31 | 新华三技术有限公司成都分公司 | 一种设备的访问方法和网络设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141492A (zh) * | 2005-04-29 | 2008-03-12 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
| CN101184045A (zh) * | 2007-12-13 | 2008-05-21 | 华为技术有限公司 | 一种实现终端接入零售业务提供商的方法和装置 |
| CN101335770A (zh) * | 2008-08-06 | 2008-12-31 | 杭州华三通信技术有限公司 | 一种网络地址端口转换方法和装置 |
| CN101510872A (zh) * | 2009-02-09 | 2009-08-19 | 中兴通讯股份有限公司 | 远程用户拨号认证服务客户端、服务器、发送/接收方法 |
| CN102148879A (zh) * | 2010-10-22 | 2011-08-10 | 华为技术有限公司 | 端口映射方法、装置与通信系统 |
| CN102611623A (zh) * | 2012-03-09 | 2012-07-25 | 中国联合网络通信集团有限公司 | 基于网络访问的端口配置处理方法、装置和系统 |
| CN103095654A (zh) * | 2011-10-31 | 2013-05-08 | 华为技术有限公司 | 配置虚拟局域网vlan信息的方法、无线接入点和网络控制点 |
| CN103338275A (zh) * | 2013-05-30 | 2013-10-02 | 中国联合网络通信集团有限公司 | 端口分配方法和装置 |
| CN104185192A (zh) * | 2014-08-12 | 2014-12-03 | 福建星网锐捷网络有限公司 | 一种管理设备的访问方法及相关设备 |
-
2014
- 2014-12-22 CN CN201410808705.6A patent/CN104506667B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141492A (zh) * | 2005-04-29 | 2008-03-12 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
| CN101184045A (zh) * | 2007-12-13 | 2008-05-21 | 华为技术有限公司 | 一种实现终端接入零售业务提供商的方法和装置 |
| CN101335770A (zh) * | 2008-08-06 | 2008-12-31 | 杭州华三通信技术有限公司 | 一种网络地址端口转换方法和装置 |
| CN101510872A (zh) * | 2009-02-09 | 2009-08-19 | 中兴通讯股份有限公司 | 远程用户拨号认证服务客户端、服务器、发送/接收方法 |
| CN102148879A (zh) * | 2010-10-22 | 2011-08-10 | 华为技术有限公司 | 端口映射方法、装置与通信系统 |
| CN103095654A (zh) * | 2011-10-31 | 2013-05-08 | 华为技术有限公司 | 配置虚拟局域网vlan信息的方法、无线接入点和网络控制点 |
| CN102611623A (zh) * | 2012-03-09 | 2012-07-25 | 中国联合网络通信集团有限公司 | 基于网络访问的端口配置处理方法、装置和系统 |
| CN103338275A (zh) * | 2013-05-30 | 2013-10-02 | 中国联合网络通信集团有限公司 | 端口分配方法和装置 |
| CN104185192A (zh) * | 2014-08-12 | 2014-12-03 | 福建星网锐捷网络有限公司 | 一种管理设备的访问方法及相关设备 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016202013A1 (zh) * | 2015-06-18 | 2016-12-22 | 中兴通讯股份有限公司 | 日志获取方法和装置、以及网管服务器 |
| CN106331189A (zh) * | 2015-06-18 | 2017-01-11 | 中兴通讯股份有限公司 | 日志获取方法和装置、以及网管服务器 |
| CN106506724A (zh) * | 2016-11-23 | 2017-03-15 | 杭州华三通信技术有限公司 | 一种分配端口块的方法及装置 |
| CN106506724B (zh) * | 2016-11-23 | 2020-10-30 | 新华三技术有限公司 | 一种分配端口块的方法及装置 |
| CN106603435A (zh) * | 2016-12-28 | 2017-04-26 | 北京华为数字技术有限公司 | 分配端口块资源的方法及装置 |
| CN106603435B (zh) * | 2016-12-28 | 2019-10-15 | 北京华为数字技术有限公司 | 分配端口块资源的方法及装置 |
| CN113329057A (zh) * | 2021-04-30 | 2021-08-31 | 新华三技术有限公司成都分公司 | 一种设备的访问方法和网络设备 |
| CN113329057B (zh) * | 2021-04-30 | 2022-05-27 | 新华三技术有限公司成都分公司 | 一种设备的访问方法和网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104506667B (zh) | 2018-10-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100502413C (zh) | Dhcp中继为dhcp客户端请求ip地址的方法 | |
| US10187352B2 (en) | Deterministic mapping | |
| CN103139326B (zh) | Ip溯源方法、设备和系统 | |
| CN103281203B (zh) | 一种基于ecos系统的DHCP地址分配管理方法 | |
| CN102148878B (zh) | Ip地址分配方法、系统和设备 | |
| CN103797774B (zh) | 一种网络地址转换设备及方法 | |
| CN102404418B (zh) | 为用户终端分配ip地址的方法、装置和系统 | |
| CN104506667A (zh) | 一种分配端口资源的方法及装置、用户认证管理的装置 | |
| CN105245629A (zh) | 基于dhcp的主机通信方法及装置 | |
| CN104219334A (zh) | 用户溯源方法、装置及宽带接入服务器 | |
| US20180054415A1 (en) | Internet Protocol Address Allocation Method and Router | |
| CN105472048A (zh) | 一种地址分配方法、信息聚合方法及相关设备 | |
| CN102868770A (zh) | 一种分配接口的方法、设备及系统 | |
| CN102611623B (zh) | 基于网络访问的端口配置处理方法、装置和系统 | |
| RU2008109208A (ru) | Мобильный узел для получения информации выделения ip-адреса, сервер данных для предоставления информации выделения ip-адреса и способ предоставления информации выделения ip-адреса | |
| US10419392B2 (en) | Method, device and system for implementing address sharing | |
| CN107295117B (zh) | 一种地址池的分配方法及装置 | |
| CN105338089A (zh) | 一种远程内容共享方法、服务器及终端 | |
| CN106878485B (zh) | 一种报文处理方法及装置 | |
| CN106878479B (zh) | 一种地址分配方法及装置 | |
| CN102984696B (zh) | 基于移动终端的ip通信方法、设备和系统 | |
| CN107172229B (zh) | 路由器的配置方法及装置 | |
| CN109889421A (zh) | 路由器的管理方法、装置、终端、系统及存储介质 | |
| CN104243626A (zh) | 信息处理装置 | |
| CN110838966B (zh) | 一种设备连接控制方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |